应急响应
关注
分享
扫一扫
Wangcy.
一名知识搬运工。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Windows病毒木马自启动查找位置
1.开启启动项 2.注册表 3.定时任务 4.WMI原创 2020-06-15 12:06:02 · 611 阅读 · 0 评论 -
Linux入侵分析
1 可疑文件分析 `ls -alt /tmp/` 查看开机启动项内容。 `ls -alt /etc/init.d/` 查看指定目录下文件时间的排序。 `ls -alt|head -n 10` 针对可疑文件,查看创建修改时间、访问时间的详细列表,若修改时间距离事件日期接近,并且线性关联,说明可能被篡改。 `find ./ -mtime 0 -name "*.jsp"` 最后一次修改发生在距离当前时间n天的jsp后缀文件 `find /* -iname "*.jsp*" -perm 4777`原创 2020-06-09 14:54:39 · 497 阅读 · 0 评论 -
应急响应模型
应急响应阶段 预备->识别->遏制->消除->恢复->反思 各阶段内容 预备:监控、加固、制定流程、检验 识别:识别攻击者操作、识别恶意主机流量、识别业务变化…… 遏制:短平快控制风险,准备长期响应:封禁 消除:删除恶意软件、重置系统、重置服务 恢复:IR提供指导,各团队配合恢复 反思:什么事?做得好的?做的不够好?下一次做什么? ...原创 2020-06-08 18:32:56 · 756 阅读 · 0 评论